遠端 AlmaLinux 9 主機中安裝的套件受到 ALSA-2023:3923 公告中提及的多個弱點影響。

  - 使用 cgo 時，go 命令可能會在構建時產生未預期的程式碼。這可能會在執行使用 cgo 的 go 程式時導致非預期行為。執行名稱中含有新行字元的未受信任模組時，可能會發生此情況。使用 go 命令 (即透過「go get」) 擷取的模組不受影響 (使用 GOPATH 模式擷取的模組，即 GO111MODULE=off)。(CVE-2023-29402)

  - 在 Unix 平台上，使用 setuid/setgid 位元執行二進位檔時，Go 執行階段的行為並無不同。在某些情況下，這可能很危險，例如轉儲存記憶體狀態或假設標準 i/o 檔案描述符號的狀態時。如果在標準 I/O 檔案描述符號關閉的情況下執行 setuid/setgid 二進位檔，則開啟任何檔案都可能導致以提升權限讀取或寫入非預期的內容。
    同樣，如果 setuid/setgid 程式透過錯誤或訊號終止，則可能導致其暫存器的內容被洩漏。(CVE-2023-29403)

  - 使用 cgo 時，go 命令可能會在構建時執行任意程式碼。在惡意模組上執行 go get 時，或執行構建未受信任程式碼的任何其他命令時，可能會發生這種情況。這可以由透過 #cgo LDFLAGS 指示詞指定的連結器旗標觸發。許多非選用的旗標引數被錯誤地視為選用，進而允許透過 LDFLAGS 清理來走私不允許的旗標。這會影響 gc 和 gccgo 編譯器的使用。(CVE-2023-29404)

  - 使用 cgo 時，go 命令可能會在構建時執行任意程式碼。在惡意模組上執行 go get 時，或執行構建未受信任程式碼的任何其他命令時，可能會發生這種情況。這可以由透過 #cgo LDFLAGS 指示詞指定的連結器旗標觸發。未正確處理包含內嵌空格的旗標，進而允許透過 LDFLAGS 清理將不允許的旗標包含在另一個旗標的引數中。這會影響 gccgo 編譯器的使用。(CVE-2023-29405)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機受到 GLSA-202311-09 中所述的弱點影響 (Go：多個弱點)

  - Reader.Read 未設定檔案標頭的大小上限。攻擊者可透過惡意特製的封存造成 Read 配置無限量的記憶體，這可能引致資源耗盡或錯誤。
    修正後，Reader.Read 會將標頭區塊的大小上限限制為 1 MiB。(CVE-2022-2879)

  - ReverseProxy 轉送的要求包含來自傳入要求的原始查詢參數，包括 net/http 拒絕的無法剖析的參數。當 Go Proxy 轉送具有無法剖析的值的參數時，可以觸發查詢參數走私。修正後，在 ReverseProxy 之後設定傳出要求的 Form 欄位時，ReverseProxy 會清理轉送的查詢中的查詢參數。Director 函式傳回，表示 Proxy 已剖析此查詢參數。不剖析查詢參數的 Proxy 會繼續原封不動地轉送原始查詢參數。(CVE-2022-2880)

  - 編譯來自非受信任來源的規則運算式的程式可能容易受到記憶體耗盡或拒絕服務攻擊。剖析的規則運算式的表示法與輸入的大小成線性關係，但在某些情況下，常數因子可高達 40,000，使得相對較小的 regexp 會消耗大量記憶體。修正後，將每個要剖析的規則運算式的記憶體佔用量都限制為 256 MB。如果表示法佔用的空間超過限制，此規則運算式會遭到拒絕。正常使用的規則運算式不受影響。(CVE-2022-41715)

  - 攻擊者可在接受 HTTP/2 要求的 Go 伺服器中造成記憶體過度增長。HTTP/2 伺服器連線包含用戶端傳送的 HTTP 標頭金鑰快取。雖然此快取中的項目總數設有上限，但攻擊者如果傳送非常大的金鑰，即可造成伺服器為每個開啟的連線配置大約 64 MiB。(CVE-2022-41717)

  - 惡意特製的 HTTP/2 串流可造成 HPACK 解碼器中發生 CPU 過度佔用問題，透過少量小型要求即可造成程式拒絕服務。(CVE-2022-41723)

  - 大量交握記錄可造成 crypto/tls 發生錯誤。用戶端和伺服器都可能傳送大量 TLS 交握記錄，這會分別造成伺服器和用戶端在嘗試建構回應時發生錯誤。此問題會影響所有 TLS 1.3 用戶端、明確啟用工作階段恢復的 TLS 1.2 用戶端 (透過將 Config.ClientSessionCache 設為非 nil 值)，以及要求用戶端憑證的 TLS 1.3 伺服器 (透過設定 Config.ClientAuth >= RequestClientCert) 。(CVE-2022-41724)

  - net/http 和 mime/multipart 中可能存在因資源消耗過度導致的拒絕服務問題。
    使用 mime/multipart.Reader.ReadForm 剖析 Multipart 表單時，可能會大量消耗無限量的記憶體和磁碟檔案。這也會影響 net/http 套件中使用 Request 方法 FormFile、FormValue、ParseMultipartForm 和 PostFormValue 剖析表單的情況。ReadForm 採用 maxMemory 參數，並記錄為在記憶體中最多儲存 maxMemory 位元組 +10MB (為非檔案部分保留的空間)。無法儲存在記憶體中的檔案部分會儲存在磁碟上的暫存檔中。為非檔案部分保留的無法設定的 10MB 過大，可能會自行開啟拒絕服務媒介。但是，ReadForm 並未正確考量已剖析表單消耗的所有記憶體，例如對應項目額外負荷、部分名稱和 MIME 標頭，這允許惡意製作的表單消耗記憶體容量超過 10MB。此外，ReadForm 對建立的磁碟檔案數量沒有限制，允許相對較小的要求內文建立大量的磁碟暫存檔。修正後，ReadForm 現在會正確考量各種形式的記憶體額外負荷，並且現在應保持在其記錄的 10MB + maxMemory 位元組記憶體消耗範圍內。使用者仍應注意，此限制較高且可能仍然存在危險。此外，ReadForm 現在最多可建立一個磁碟上暫存檔，將多個表單部分合併為一個暫存檔。mime/multipart.File 介面類型的文件指出，如果儲存在磁碟上，檔案的基礎具體類型將為 *os.File.。如果表單包含多個檔案部分，則因為要將部分合併到一個檔案中，所以情況不再如此。之前針對每個表單部分使用不同檔案的行為，可透過環境變數 GODEBUG=multipartfiles=distinct 重新啟用。使用者應注意，multipart.ReadForm 和呼叫它的 http.Request 方法不會限制暫存檔消耗的磁碟量。呼叫者可使用 http.MaxBytesReader 限製表單資料的大小。(CVE-2022-41725)

  - 即使在剖析小輸入時，HTTP 和 MIME 標頭剖析仍可配置大量記憶體，進而可能導致拒絕服務。輸入資料的某些異常模式可造成用於剖析 HTTP 和 MIME 標頭的通用函式配置比保留已剖析標頭所需的更多的記憶體。攻擊者可惡意利用此行為，造成 HTTP 伺服器從小型要求配置大量記憶體，進而可能導致記憶體耗盡和拒絕服務。
    經過修正，標頭剖析現在只會正確配置保留已剖析標頭所需的記憶體。
    (CVE-2023-24534)

  - 處理含有極大量部分的表單輸入時，多部分表單剖析會消耗大量 CPU 和記憶體。這源於數個原因：1. mime/multipart.Reader.ReadForm 限制已剖析的多部分錶單可消耗的總記憶體。ReadForm 可低估消耗的記憶體量，導致其接受比預期更大的輸入。2. 限制總記憶體並未將具有許多部分的表單中的大量小配置對記憶體回收行程增加的壓力考慮在內。3.
    ReadForm 可配置大量存留期短的緩衝區，進一步增加記憶體回收行程的壓力。這些因素結合在一起，可允許攻擊者造成剖析多部分錶單的程式消耗大量 CPU 和記憶體，進而可能導致拒絕服務。
    這會影響使用 mime/multipart.Reader.ReadForm 的程式，以及具有 Request 方法 FormFile、FormValue、ParseMultipartForm 和 PostFormValue 的 net/http 套件中的表單剖析。經過修正，ReadForm 現在可以更好地估計已剖析表單的記憶體消耗，並減少執行短期配置。此外，已修正的 mime/multipart.Reader 對剖析表單的大小進行了下列限制：1. 使用 ReadForm 剖析的表單最多可包含 1000 個部分。此限制可使用環境變數 GODEBUG=multipartmaxparts= 進行調整。 2. 使用 NextPart 和 NextRawPart 剖析的表單部分包含的標頭欄位不得超過 10,000。此外，使用 ReadForm 剖析的表單在所有部分中包含的標題欄位不得超過 10,000 個。此限制可使用環境變數 GODEBUG=multipartmaxheaders= 進行調整。(CVE-2023-24536)

  - 若在 Go 原始程式碼上呼叫含有非常大行數的 //line 指示詞的任何剖析函式，可因整數溢位而造成無限迴圈。(CVE-2023-24537)

  - 範本未正確將反引號 (`) 視為 Javascript 字串分隔符號，也未如預期對其進行逸出。自 ES6 起，JS 範本常值使用反引號。如果範本在 Javascript 範本常值中包含 Go 範本動作，則可使用動作內容終止該常值，從而將任意 Javascript 程式碼插入 Go 範本。由於 ES6 範本常值相當複雜，而且本身可以進行字串插入，因此決定簡單地禁止在其中使用 Go 範本動作 (例如 var a = {{.}})，因為此行為沒有明確可行的安全方法。這與 github.com/google/safehtml 所採用的方法相同。經過修正，Template.Parse 在遇到此類範本時會傳回 ErrorCode 值為 12 的錯誤。此 ErrorCode 目前未匯出，但將在 Go 1.21 版中匯出。依賴先前行為的使用者可使用 GODEBUG 旗標 jstmpllitinterp=1 重新執行該行為，但需要注意的是現在將逸出反引號。應謹慎使用。(CVE-2023-24538)

  - 使用 cgo 時，go 命令可能會在構建時產生未預期的程式碼。這可能會在執行使用 cgo 的 go 程式時導致非預期行為。執行名稱中含有新行字元的未受信任模組時，可能會發生此情況。使用 go 命令 (即透過「go get」) 擷取的模組不受影響 (使用 GOPATH 模式擷取的模組，即 GO111MODULE=off)。(CVE-2023-29402)

  - 在 Unix 平台上，使用 setuid/setgid 位元執行二進位檔時，Go 執行階段的行為並無不同。在某些情況下，這可能很危險，例如轉儲存記憶體狀態或假設標準 i/o 檔案描述符號的狀態時。如果在標準 I/O 檔案描述符號關閉的情況下執行 setuid/setgid 二進位檔，則開啟任何檔案都可能導致以提升權限讀取或寫入非預期的內容。
    同樣，如果 setuid/setgid 程式透過錯誤或訊號終止，則可能導致其暫存器的內容被洩漏。(CVE-2023-29403)

  - 使用 cgo 時，go 命令可能會在構建時執行任意程式碼。在惡意模組上執行 go get 時，或執行構建未受信任程式碼的任何其他命令時，可能會發生這種情況。這可以由透過 #cgo LDFLAGS 指示詞指定的連結器旗標觸發。許多非選用的旗標引數被錯誤地視為選用，進而允許透過 LDFLAGS 清理來走私不允許的旗標。這會影響 gc 和 gccgo 編譯器的使用。(CVE-2023-29404)

  - 使用 cgo 時，go 命令可能會在構建時執行任意程式碼。在惡意模組上執行 go get 時，或執行構建未受信任程式碼的任何其他命令時，可能會發生這種情況。這可以由透過 #cgo LDFLAGS 指示詞指定的連結器旗標觸發。未正確處理包含內嵌空格的旗標，進而允許透過 LDFLAGS 清理將不允許的旗標包含在另一個旗標的引數中。這會影響 gccgo 編譯器的使用。(CVE-2023-29405)

  - HTTP/1 用戶端未完整驗證 Host 標頭的內容。惡意特製的主機標頭可插入其他標頭或整個要求。修正後，HTTP/1 用戶端現在會拒絕傳送包含無效 Request.Host 或 Request.URL.Host 值的要求。(CVE-2023-29406)

  - 憑證鏈結中的 RSA 金鑰過大可造成用戶端/伺服器花費大量 CPU 時間來驗證簽章。修正後，交握期間傳輸的 RSA 金鑰大小會被限制為不超過 8192 個位元。根據對公開信任的 RSA 金鑰進行的調查，目前只有三個憑證的金鑰超過此大小，而且這三個憑證似乎都是未主動部署的測試憑證。私用 PKI 中可能會使用更大的金鑰，但我們的目標是 Web PKI，因此為了提高 crypto/tls 使用者的預設安全性，在此中斷使用似乎是合理做法。(CVE-2023-29409)

  - html/template 套件未正確處理類似 HTML 的註解 Token，也未正確處理 <script> 情境中的 hashbang #! 註解 Token。這可能會造成範本剖析器不當解譯 <script> 情境的內容，進而導致動作不當逸出。攻擊者可能會利用此弱點來執行 XSS 攻擊。(CVE-2023-39318)

  - html/範本套件未套用正確的規則來處理 <script, <!-- 的發生和 </script within JS literals in ><script> 情景。這可能會造成範本剖析器錯誤地認為指令碼上下文被提前終止，進而導致動作不當逸出。攻擊者可利用此弱點來執行 XSS 攻擊。(CVE-2023-39319)

  - 在模組內執行 go 命令時，Go 1.21 中引入的 go.mod 工具鏈指示詞可能會被用於執行相對於模組 root 的指令碼和二進位檔。這適用於使用 go 命令從模組 Proxy 下載的模組，以及直接使用 VCS 軟體下載的模組。(CVE-2023-39320)

  - 處理 QUIC 連線的不完整交握後訊息可造成錯誤。(CVE-2023-39321)

  - QUIC 連線在讀取交握後訊息時，未設定緩衝資料量的上限，進而允許惡意 QUIC 連線造成記憶體無限增長。修正後，連線現在會持續拒絕大小超過 65KiB 的訊息。(CVE-2023-39322)

  - Line 指示詞 (//line) 可用來繞過 //go: cgo_ 指示詞的限制，從而允許在編譯期間傳遞封鎖的連結器和編譯器標記。這可導致在執行 go build 時意外執行任意程式碼。Line 指示詞需要該指示詞所在檔案的絕對路徑，這會顯著加大惡意使用者利用此問題的難度。(CVE-2023-39323)

  - 惡意 HTTP/2 用戶端如能快速建立要求並立即將其重設，可以造成伺服器資源過度消耗。雖然要求總數受到 http2.Server.MaxConcurrentStreams 設定的限制，但重設進行中的要求讓攻擊者可在現有要求仍在執行時建立新要求。套用修正後，HTTP/2 伺服器現在會將同時執行的處置程式 goroutine 的數量限制為資料流並行限制 (MaxConcurrentStreams)。達到限制時到達的新要求 (只有在用戶端重設現有的執行中要求後才會發生) 將會排入佇列，直到處理常式結束。如果要求佇列變得過大，伺服器會終止連線。對於手動設定 HTTP/2 的使用者，此問題也已在 golang.org/x/net/http2 中修正。預設的資料流並行限制為每個 HTTP/2 連線 250 個資料流 (要求)。此值可使用 golang.org/x/net/http2 套件進行調整；請參閱 Server.MaxConcurrentStreams 設定和 ConfigureServer 函式。(CVE-2023-39325)

  - HTTP/2 通訊協定允許拒絕服務 (伺服器資源消耗)，因為要求取消可快速重設許多資料流，如 2023 年 8 月到 2023 年 10 月間遭到的猖獗惡意攻擊。(CVE-2023-44487)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Splunk 版本低於測試版本。因此，它會受到 SVD-2023-0808 公告中提及的一個弱點影響。

  - 使用 cgo 時，go 命令可能會在構建時執行任意程式碼。在惡意模組上執行 go get 時，或執行構建未受信任程式碼的任何其他命令時，可能會發生這種情況。這可以由透過 #cgo LDFLAGS 指示詞指定的連結器旗標觸發。未正確處理包含內嵌空格的旗標，進而允許透過 LDFLAGS 清理將不允許的旗標包含在另一個旗標的引數中。這會影響 gccgo 編譯器的使用。(CVE-2023-29405)

  - curl 7.84.0 之前版本將 cookie、alt-svc 和 hsts 資料儲存到本機檔案時，會透過將暫存名稱重新命名為最終目標檔案名稱來完成作業，從而使此作業成爲原子型作業。在此重新命名作業中，它可能會意外*放寬*針對目標檔案的權限，讓更多使用者可存取更新後的檔案。(CVE-2022-32207)

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

  - Node.js 12.1.0 之前版本的 got 套件 (也已經在 11.8.5 中得到修正) 允許重新導向至 UNIX 通訊端。
    (CVE-2022-33987)

  - 在 webpack loader-utils 中，透過 parseQuery.js 中的名稱變數，可在 parseQuery.js 的 parseQuery 函式中造成原型污染弱點。1.4.1 之前的所有版本和 2.0.3 版本會受到此弱點影響。(CVE-2022-37601)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

远程主机上安装的 golang 版本低于 1.18.9-1。因此，该应用程序受到 ALAS2-2023-2131 公告中提及的漏洞影响。

  - 使用 cgo 时，go 命令可能在构建时生成非预期的代码。这可能导致在运行使用 cgo 的 go 程序时发生意外情况。如果不受信任的模块包含名称中带换行符的目录，运行此模块则可能会导致此问题发生。使用 go 命令（即通过 go get）检索到的模块不受影响（使用 GOPATH-mode 检索到的模块，如 GO111MODULE=off）。(CVE-2023-29402)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Azure Linux 3.0 主机上安装的 golang / msft-golang 版本低于测试版本。因此，该程序受到 CVE-2023-29402 公告中提及的一个漏洞影响。

  - 使用 cgo 时，go 命令可能在构建时生成非预期的代码。这可能导致在运行使用 cgo 的 go 程序时发生意外情况。如果不受信任的模块包含名称中带换行符的目录，运行此模块则可能会导致此问题发生。使用 go 命令（即通过 go get）检索到的模块不受影响（使用 GOPATH-mode 检索到的模块，如 GO111MODULE=off）。(CVE-2023-29402)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Golang Go 版本受到多个漏洞的影响：

  - 使用 cgo 时，go 命令可能在构建时生成非预期的代码。这可能导致在运行使用 cgo 的 go 程序时发生意外情况。如果不受信任的模块包含名称中带换行符的目录，运行此模块则可能会导致此问题发生。使用 go 命令（即通过 'go get'）检索到的模块不受影响（使用 GOPATH-mode 检索到的模块，如 GO111MODULE=off）。(CVE-2023-29402)

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行“go get”或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过“#cgo LDFLAGS”指令指定的链接器标记触发。大量非可选标记的参数被错误地视为可选，从而允许通过 LDFLAGS 审查走私禁用的标记。这会影响 gc 和 gccgo 编译器的使用。(CVE-2023-29404)

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行“go get”或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过“#cgo LDFLAGS”指令指定的链接器标记触发。由于包含嵌入空格的标记处理不当，导致可以通过 LDFLAGS 审查走私禁用的标记，方法则是将这些标记纳入另一个标记的参数中。此问题只会影响 gccgo 编译器的使用。(CVE-2023-29405) 请注意，Nessus 并未测试这些问题，而只是依赖应用程序自我报告的版本号进行判断。32

远程 CentOS Linux 8 主机上安装的程序包受到 CESA-2023: 3922 公告中提及的漏洞的影响。

  - 使用 cgo 时，go 命令可能在构建时生成非预期的代码。这可能导致在运行使用 cgo 的 go 程序时发生意外情况。如果不受信任的模块包含名称中带换行符的目录，运行此模块则可能会导致此问题发生。使用 go 命令（即通过 go get）检索到的模块不受影响（使用 GOPATH-mode 检索到的模块，如 GO111MODULE=off）。(CVE-2023-29402)

  - 在 Unix 平台上，当使用 setuid/setgid 位运行二进制文件时，Go 运行时的行为将和之前保持一致。这在某些情况下可能很危险，例如在转储内存状态或假设状态为标准 i/o 文件描述符时。如果在关闭标准 I/O 文件描述符的情况下执行 setuid/setgid 二进制文件，则打开任何文件都可能导致使用提升的权限读取或写入意外内容。
    同样，如果 setuid/setgid 程序通过错误或信号终止，则可能泄漏其寄存器的内容。 (CVE-2023-29403)

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。大量非可选标记的参数被错误地视为可选，从而允许通过 LDFLAGS 审查走私禁用的标记。这会影响 gc 和 gccgo 编译器的使用。(CVE-2023-29404)

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。由于包含嵌入空格的标记处理不当，导致可以通过 LDFLAGS 审查走私禁用的标记，方法则是将这些标记纳入另一个标记的参数中。这会影响 gccgo 编译器的使用。(CVE-2023-29405)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 AlmaLinux 9 主机上安装的程序包受到 ALSA-2023:3923 公告中提及的多个漏洞的影响。

  - 使用 cgo 时，go 命令可能在构建时生成非预期的代码。这可能导致在运行使用 cgo 的 go 程序时发生意外情况。如果不受信任的模块包含名称中带换行符的目录，运行此模块则可能会导致此问题发生。使用 go 命令（即通过 go get）检索到的模块不受影响（使用 GOPATH-mode 检索到的模块，如 GO111MODULE=off）。(CVE-2023-29402)

  - 在 Unix 平台上，当使用 setuid/setgid 位运行二进制文件时，Go 运行时的行为将和之前保持一致。这在某些情况下可能很危险，例如在转储内存状态或假设状态为标准 i/o 文件描述符时。如果在关闭标准 I/O 文件描述符的情况下执行 setuid/setgid 二进制文件，则打开任何文件都可能导致使用提升的权限读取或写入意外内容。
    同样，如果 setuid/setgid 程序通过错误或信号终止，则可能泄漏其寄存器的内容。 (CVE-2023-29403)

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。大量非可选标记的参数被错误地视为可选，从而允许通过 LDFLAGS 审查走私禁用的标记。这会影响 gc 和 gccgo 编译器的使用。(CVE-2023-29404)

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。由于包含嵌入空格的标记处理不当，导致可以通过 LDFLAGS 审查走私禁用的标记，方法则是将这些标记纳入另一个标记的参数中。这会影响 gccgo 编译器的使用。(CVE-2023-29405)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Splunk 版本低于测试版本。因此，该应用程序受到 SVD-2023-0808 公告中提及的一个漏洞影响。

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。由于包含嵌入空格的标记处理不当，导致可以通过 LDFLAGS 审查走私禁用的标记，方法则是将这些标记纳入另一个标记的参数中。这会影响 gccgo 编译器的使用。(CVE-2023-29405)

  - 低于 7.84.0 版的 curl 将 cookie、alt-svc 和 hsts 数据保存到本地文件时，会通过将临时名称重命名为最终目标文件名称来完成操作，从而使该操作成为原子型操作。在该重命名操作中，它可能会意外*放宽*对目标文件的权限，使更多用户可访问更新后的文件。(CVE-2022-32207)

  - decode-uri-component 0.2.0 版容易受到不当输入验证的影响，从而导致 DoS。(CVE-2022-38900)

  - Node.js 12.1.0 之前版本的 got 程序包（也已在 11.8.5 中修复）允许重定向到 UNIX 套接字。
    (CVE-2022-33987)

  - 在 webpack loader-utils 中，通过 parseQuery.js 中的名称变量，可在 parseQuery.js 的 parseQuery 函数中造成原型污染漏洞。这会影响 1.4.1 和 2.0.3 之前的所有版本。(CVE-2022-37601)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机受到 GLSA-202311-09 中所述漏洞的影响（Go：多个漏洞）

  - Reader.Read 未对文件标头的最大大小设置限制。恶意构建的存档可导致 Read 分配不受限制的内存量，从而可能导致资源耗尽或错误。
    修复后，Reader.Read 将标头块的最大大小限制为 1 MiB。(CVE-2022-2879)

  - ReverseProxy 转发的请求包括入站请求的原始查询参数，包括 net/http 拒绝的无法解析的参数。当 Go 代理转发具有不可解析值的参数时，这可能允许查询参数走私。修复后，在 ReverseProxy 之后设置出站请求的表单字段时，ReverseProxy 会审查转发的查询中的查询参数。Director 函数返回即表示代理已解析查询参数。不解析查询参数的代理继续转发不变的原始查询参数。(CVE-2022-2880)

  - 从不受信任的来源编译正则表达式的程序容易受到内存耗尽或拒绝服务的影响。解析后的 regexp 表示与输入的大小成线性关系，但在某些情况下，常数因子可高达 40,000，使得相对较小的 regexp 消耗大量内存。修复后，每个被解析的 regexp 被限制为 256 MB 内存占用。正则表达式的表示会使用比拒绝的表达式更多的空间。正则表达式的正常使用不受影响。 (CVE-2022-41715)

  - 攻击者可造成接受 HTTP/2 请求的 Go 服务器内存过度增长。HTTP/2 服务器连接包含客户端发送的 HTTP 标头密钥的缓存。尽管此缓存中的条目总数已上限，但攻击者可发送非常大的密钥，从而导致服务器为每个打开的连接分配大约 64 MiB。(CVE-2022-41717)

  - 恶意构建的 HTTP/2 流可造成 HPACK 解码器过度消耗 CPU，这足以通过少量小请求造成拒绝服务。(CVE-2022-41723)

  - 大量握手记录可能会造成 crypto/tls 错误。客户端和服务器都可能发送大型 TLS 握手记录，从而在尝试构造响应时分别造成服务器和客户端错误。这会影响所有 TLS 1.3 版客户端、明确启用会话恢复的 TLS 1.2 版客户端（通过将 Config.ClientSessionCache 设置为非 nil 值）以及请求客户端证书的 TLS 1.3 版服务器（通过设置 Config.ClientAuth >= RequestClientCert）。(CVE-2022-41724)

  - net/http 和 mime/multipart 中的过量资源消耗可能导致拒绝服务。
    使用 mime/multipart.Reader.ReadForm 进行的多部分表单解析会消耗大量不受限制的内存和磁盘文件。这也会影响使用 Request 方法 FormFile、FormValue、ParseMultipartForm 和 PostFormValue 在 net/http 程序包中进行的表单解析。ReadForm 采用 maxMemory 参数，据记载其在内存中最多可存储 +10MB maxMemory 字节（为非文件部分预留）。无法存储在内存中的文件部分以临时文件的形式存储在磁盘上。为非文件部分保留的不可配置的 10MB 过大，可能会单独打开拒绝服务矢量。但是，ReadForm 没有正确考虑解析的表单消耗的所有内存，例如映射条目开销、部分名称和 MIME 标头，从而允许恶意构建的表单消耗远远超过 10MB。此外，ReadForm 对创建的磁盘文件数量没有限制，允许相对较小的请求正文创建大量磁盘临时文件。修复后，ReadForm 现在可以正确考虑各种形式的内存开销，并且现在应将开销保持在其记录的 10MB + maxMemory 字节内存消耗内。用户仍应意识到此限制较高且可能仍然存在危险。此外，ReadForm 现在至多创建一个磁盘临时文件，从而将多个表单部分合并为一个临时文件。mime/multipart.File 接口类型的文档指出，如果存储在磁盘上，File 的底层具体类型将为 *os.File.。当表单包含多个文件部分时，情况不再如此，这是因为将多个文件部分合并为一个文件所致。可通过环境变量 GODEBUG=multipartfiles=distinct 重新启用之前对每个表单部分使用不同文件的行为。用户应注意，multipart.ReadForm 和调用它的 http.Request 方法不会限制临时文件消耗的磁盘数量。调用方可使用 http.MaxBytesReader 限制表单数据的大小。(CVE-2022-41725)

  - 即使在解析小型输入时，HTTP 和 MIME 标头解析也可能会分配大量内存，从而可能导致拒绝服务。输入数据的某些异常模式可导致用于解析 HTTP 和 MIME 标头的通用函数分配远超所需的内容来保存已解析的标头。攻击者可能会利用此行为，导致 HTTP 服务器通过小型请求分配大量内存，从而可能导致内存耗尽和拒绝服务。
    经修复后，标头解析现在可以正确分配所需内存来保存已解析的标头。
    (CVE-2023-24534)

  - 在处理包含大量部分的表单输入时，多部分表单解析可能会消耗大量 CPU 和内存。此问题由多种原因导致：1. mime/multipart.Reader.ReadForm 限制解析多部分表单可以消耗的总内存。ReadForm 可能会低估所消耗的内存量，导致它接受的输入大于预期。2. 限制总内存的做法并未考虑到包含多个部分的表单中的大量小型分配给垃圾回收器增加的压力。3.
    ReadForm 可以分配大量短效缓冲区，这会进一步加大对垃圾回收器造成的压力。这些因素相结合，攻击者便可让解析多部分表单的程序消耗大量 CPU 和内存，从而可能导致拒绝服务。
    这会影响使用 mime/multipart.Reader.ReadForm 的程序，也会影响使用 Request 方法 FormFile、FormValue、ParseMultipartForm 和 PostFormValue 在 net/http 程序包中进行的表单解析。经修复后，ReadForm 现在可以更好地估算已解析表单的内存消耗量，并大幅减少短效分配。此外，经修复的 mime/multipart.Reader 会对已解析表单的大小施加以下限制：1. 使用 ReadForm 解析的表单包含的部分不超过 1,000 个。此限制可通过环境变量 GODEBUG=multipartmaxparts= 进行调整。2. 使用 NextPart 和 NextRawPart 解析的表单部分包含的标头字段不超过 10,000 个。此外，使用 ReadForm 解析的所有表单部分包含的标头字段不超过 10,000 个。此限制可通过环境变量 GODEBUG=multipartmaxheaders= 进行调整。(CVE-2023-24536)

  - 在包含具有极大行号的 //line 指令的 Go 源代码中，调用任何 Parse 函数都有可能因整数溢出而造成无限循环。(CVE-2023-24537)

  - 模板未正确将反引号 (`) 视为 Javascript 字符串分隔符，也未按预期对其进行转义。自 ES6 起，反引号可用于 JS 模板文本。如果模板的 Javascript 模板文本中包含 Go 模板操作，则此操作的内容可用于停用文本，进而将任意 Javascript 代码注入 Go 模板。ES6 模板文字相当复杂，且其本身可以执行字符串插入操作，因此决定简单地禁止在此类文字中使用 Go 模板操作（例如 var a = {{.}}），因为没有显然安全的方式支持此行为。此方法与 github.com/google/safehtml 相同。经修复后，Template.Parse 在遇到此类模板时会返回一个 ErrorCode 值为 12 的错误。此 ErrorCode 当前并未导出，但将在 Go 1.21 版本中导出。依赖之前行为的用户可以使用 GODEBUG 标记 jstmpllitinterp=1 重新启用它，但需要注意的是现在将对反引号进行转义。应谨慎使用此做法。(CVE-2023-24538)

  - 使用 cgo 时，go 命令可能在构建时生成非预期的代码。这可能导致在运行使用 cgo 的 go 程序时发生意外情况。如果不受信任的模块包含名称中带换行符的目录，运行此模块则可能会导致此问题发生。使用 go 命令（即通过 go get）检索到的模块不受影响（使用 GOPATH-mode 检索到的模块，如 GO111MODULE=off）。(CVE-2023-29402)

  - 在 Unix 平台上，当使用 setuid/setgid 位运行二进制文件时，Go 运行时的行为将和之前保持一致。这在某些情况下可能很危险，例如在转储内存状态或假设状态为标准 i/o 文件描述符时。如果在关闭标准 I/O 文件描述符的情况下执行 setuid/setgid 二进制文件，则打开任何文件都可能导致使用提升的权限读取或写入意外内容。
    同样，如果 setuid/setgid 程序通过错误或信号终止，则可能泄漏其寄存器的内容。 (CVE-2023-29403)

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。大量非可选标记的参数被错误地视为可选，从而允许通过 LDFLAGS 审查走私禁用的标记。这会影响 gc 和 gccgo 编译器的使用。(CVE-2023-29404)

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。由于包含嵌入空格的标记处理不当，导致可以通过 LDFLAGS 审查走私禁用的标记，方法则是将这些标记纳入另一个标记的参数中。这会影响 gccgo 编译器的使用。(CVE-2023-29405)

  - HTTP/1 客户端没有充分验证主机标头的内容。恶意构建的主机标头可以注入其他标头或整个请求。修复后，HTTP/1 客户端现在会拒绝发送包含无效 Request.Host 或 Request.URL.Host 值的请求。(CVE-2023-29406)

  - 证书链中过大的 RSA 密钥可能会导致客户端/服务器花费大量 CPU 时间来验证签名。通过修复，将握手期间传输的 RSA 密钥大小限制为 <= 8192 位。根据对公众信任的 RSA 密钥的调查，目前流通中的证书中，只有三个的密钥大于此限制，并且这三个证书似乎都是未积极部署的测试证书。私有 PKI 中可能使用了更大的密钥，但我们针对的是 Web PKI，因此，为了提高 crypto/tls 用户的默认安全性，在此处造成中断似乎是合理的。(CVE-2023-29409)

  - html/模板程序包无法正确处理 HTML 类的注释标记，亦无法正确处理 <script> 内容脚本中的 hashbang #! 注释标记。这可能会导致模板解析器错误地解释 <script> 内容脚本中的内容，从而导致操作被错误转义。这可被用于执行 XSS 攻击。(CVE-2023-39318)

  - html/模版程序包没有应用正确的规则来处理出现的 <script, <!--, 情形和  </script within JS literals in ><script> 环境。这可能会导致模板解析器错误地将脚本上下文考虑为提前终止，从而导致操作被错误转义。这可被用于执行 XSS 攻击。(CVE-2023-39319)

  - 当在模块内执行“go”命令时，Go 1.21 中引入的 go.mod 工具链指令可用于执行相对于模块根目录的脚本和二进制文件。此操作适用于使用“go”命令从模块代理下载的模块，以及直接使用 VCS 软件下载的模块。(CVE-2023-39320)

  - 处理 QUIC 连接的不完整握手后消息时可能会引发恐慌。(CVE-2023-39321)

  - QUIC 连接在读取握手后消息时不会设置缓冲数据量的上限，因而可促使恶意 QUIC 连接导致无限的内存增长。通过修复，连接现在可持续拒绝大于 65KiB 的消息。(CVE-2023-39322)

  － Line 指令（“//line”）可用于绕过”//go: cgo_ 指令中的限制，允许在编译过程中传递被阻断的链接器和编译器标记。这可能会导致运行“go build”时意外执行任意代码。line 指令需要指令所在文件的绝对路径，这使得利用此问题变得更加复杂。(CVE-2023-39323)

  - 恶意 HTTP/2 客户端如快速创建请求并立即重置请求，可能会导致服务器资源消耗过多。虽然请求总数受到 http2.Server.MaxConcurrentStreams 设置的限制，但重置正在进行的请求允许攻击者在现有请求仍在执行时创建新请求。应用修复程序后，HTTP/2 服务器现在会将同时执行的处理程序 goroutine 的数量绑定到流并发限制 (MaxConcurrentStreams)。达到限制时到达的新请求（这只能在客户端重置目前正在进行的请求之后发生）将排入队列，直到处理程序退出。如果请求队列变得太大，服务器将终止连接。对于手动配置 HTTP/2 的用户，golang.org/x/net/http2 中也修复了此问题。默认的流并发限制为每个 HTTP/2 连接 250 个流（请求）。可以使用 golang.org/x/net/http2 包来调整该值。请参阅 Server.MaxConcurrentStreams 设置和 ConfigureServer 函数。(CVE-2023-39325)

  - HTTP/2 协议允许拒绝服务（服务器资源消耗），因为取消请求即可快速重置许多流，正如在 2023 年 8 月到 2023 年 10 月期间在现实环境中利用的那样。(CVE-2023-44487)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
177793	AlmaLinux 9：go-toolset 和 golang (ALSA-2023:3923)	Nessus	Alma Linux Local Security Checks	2023/6/30	2023/12/8	critical
186294	GLSA-202311-09：Go：多個弱點	Nessus	Gentoo Local Security Checks	2023/11/27	2024/2/9	critical
194928	Splunk Enterprise 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0808)	Nessus	CGI abuses	2024/5/2	2024/7/29	critical
178543	Amazon Linux 2：golang (ALAS-2023-2131)	Nessus	Amazon Linux Local Security Checks	2023/7/20	2024/12/11	critical
215260	Azure Linux 3.0 安全更新：golang / msft-golang (CVE-2023-29402)	Nessus	Azure Linux Local Security Checks	2025/2/10	2025/9/15	critical
177342	Golang < 1.19.10 / 1.20.x < 1.20.5 多个漏洞	Nessus	Windows	2023/6/15	2023/12/8	critical
177735	CentOS 8：go-toolset: rhel8 (CESA-2023: 3922)	Nessus	CentOS Local Security Checks	2023/6/29	2024/2/8	critical
177793	AlmaLinux 9：go-toolset 和 golang (ALSA-2023:3923)	Nessus	Alma Linux Local Security Checks	2023/6/30	2023/12/8	critical
194928	Splunk Enterprise 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0808)	Nessus	CGI abuses	2024/5/2	2024/7/29	critical
186294	GLSA-202311-09：Go：多个漏洞	Nessus	Gentoo Local Security Checks	2023/11/27	2024/2/9	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical